Debida diligencia de clientes: guía paso a paso
Ya sabés que sos sujeto obligado y que la SENACLAFT puede inspeccionarte. Pero cuando llega el momento de sentarte frente a un cliente nuevo, ¿qué tenés que hacer exactamente? ¿Qué documentos pedir? ¿Cómo clasificar el riesgo? ¿Cuándo aplicar controles reforzados?
La debida diligencia es el corazón de cualquier programa de compliance. Es el proceso mediante el cual conocés a tu cliente, evaluás el riesgo que representa y decidís cómo gestionarlo. En esta guía te explicamos cómo implementarlo paso a paso según la normativa uruguaya.
¿Qué es la debida diligencia?
La debida diligencia —o due diligence en inglés— es el conjunto de medidas que un sujeto obligado debe aplicar para conocer a sus clientes e identificar riesgos de lavado de activos y financiamiento del terrorismo.
La Ley 19.574 y el Decreto 379/018 establecen que la debida diligencia no es un trámite único que se hace al inicio de la relación comercial y se archiva. Es un proceso continuo que acompaña toda la vida del cliente en tu empresa.
En la práctica, se traduce en cuatro pilares: identificar, verificar, clasificar y monitorear.
Los tres niveles de debida diligencia
No todos los clientes requieren el mismo nivel de escrutinio. La normativa uruguaya establece un enfoque basado en riesgo con tres niveles que determinan la profundidad de tus controles.
Debida diligencia simplificada
Aplica para clientes que presentan bajo riesgo. Por ejemplo, empleados en relación de dependencia con ingresos verificables, empresas ya reguladas por el BCU u otro supervisor, u organismos públicos nacionales. En estos casos, podés aplicar controles mínimos: identificación básica y verificación documental estándar. Pero cuidado: si en algún momento aparecen señales de alerta, debés escalar al nivel estándar o reforzado.
Debida diligencia estándar
Es el proceso normal que aplicás a la mayoría de los clientes. Incluye todos los pasos que detallamos más adelante en esta guía: identificación completa, verificación de documentos, determinación del beneficiario final, evaluación de riesgo y monitoreo periódico.
Debida diligencia reforzada
Es obligatoria para situaciones de alto riesgo. Se aplica cuando el cliente es una Persona Políticamente Expuesta (PEP) o tiene vínculos con PEPs, cuando opera desde o hacia países identificados como de alto riesgo por el GAFI, cuando las operaciones son inusualmente complejas o carecen de justificación económica clara, o cuando la relación comercial se establece de forma no presencial sin mecanismos robustos de verificación.
La debida diligencia reforzada implica obtener más información, verificarla con mayor rigor, y monitorear con mayor frecuencia. También requiere aprobación de la alta gerencia para iniciar o continuar la relación comercial.
Paso 1: Identificación del cliente
El primer paso es obtener la información básica de tu cliente.
Para personas físicas necesitás: nombre completo, documento de identidad (cédula para uruguayos, pasaporte para extranjeros), fecha de nacimiento, nacionalidad, domicilio, actividad profesional u oficio, y datos de contacto.
Para personas jurídicas el requerimiento es más amplio: razón social, número de RUT, domicilio registrado y real, objeto social, estructura societaria, nómina de directores y representantes legales, y estados financieros recientes.
Un punto crítico que muchos pasan por alto es la identificación del beneficiario final: la persona física que en última instancia posee o controla la empresa. Si tu cliente es una sociedad, debés identificar a las personas que directa o indirectamente posean el 15% o más de las acciones o derechos de voto, o que ejerzan control efectivo por otros medios.
Paso 2: Verificación de la información
Identificar no alcanza; hay que verificar. Esto significa contrastar la información declarada por el cliente contra fuentes independientes y confiables.
Para la verificación de identidad, debés confirmar la autenticidad del documento presentado. En el caso de personas físicas, la cédula de identidad o pasaporte vigente. Para personas jurídicas, escritura de constitución, certificado de vigencia de la DGR, y poderes de los representantes.
La verificación de actividad y origen de fondos requiere documentación que respalde la actividad declarada y el origen de los fondos. Esto puede incluir recibos de sueldo, declaraciones juradas de IRPF, estados de cuenta, contratos comerciales o escrituras de propiedades.
Para la verificación contra listas, debés cruzar a cada cliente contra listas de sanciones internacionales (OFAC, ONU, Unión Europea), listas de PEPs, y bases de datos de adverse media. Este paso es fundamental y, dado el volumen de listas y la frecuencia de actualización, es donde la automatización marca la mayor diferencia.
Paso 3: Clasificación de riesgo
Con la información recopilada y verificada, clasificás al cliente según su nivel de riesgo. Esta clasificación determina qué nivel de debida diligencia aplicar y con qué frecuencia revisarlo.
Los factores que debés evaluar incluyen el riesgo del cliente (tipo de persona, actividad económica, estructura societaria, condición de PEP), el riesgo geográfico (país de residencia, origen de fondos, destino de operaciones), el riesgo del producto (qué servicio o producto le estás ofreciendo), y el riesgo del canal (presencial vs. no presencial, intermediarios involucrados).
La combinación de estos factores te da un puntaje o categoría de riesgo: bajo, medio o alto. Cada categoría tiene asociada un conjunto de controles y una frecuencia de revisión. Este análisis debe quedar documentado en una matriz de riesgo que defina los criterios de forma clara y aplicable para todo tu equipo.
Paso 4: Monitoreo continuo
La debida diligencia no termina en el onboarding. Debés monitorear a tus clientes de forma continua para detectar cambios en su perfil de riesgo.
El monitoreo transaccional implica revisar las operaciones del cliente para identificar patrones inusuales: montos que no se corresponden con su perfil, operaciones fraccionadas que podrían buscar evadir umbrales de reporte, o transacciones con destinos u orígenes de alto riesgo.
La actualización de datos debe hacerse periódicamente. Para clientes de alto riesgo, al menos una vez al año. Para clientes de riesgo medio, cada dos años. Para bajo riesgo, cada tres años. Si hay cambios significativos en la relación comercial (aumento de volumen, nuevos productos, cambio de actividad), la revisión debe hacerse inmediatamente.
La re-verificación contra listas es igualmente importante. Un cliente que hoy está limpio puede ser sancionado mañana o aparecer en noticias negativas. El monitoreo continuo contra listas de sanciones, PEPs y adverse media debe ser automático y permanente.
La documentación: tu mejor defensa
Todo lo que hagas en materia de debida diligencia debe estar documentado. Cada documento recopilado, cada verificación realizada, cada decisión tomada. La normativa exige conservar estos registros por un mínimo de diez años después de finalizada la relación comercial (más detalles en nuestra guía de registro y conservación de documentos).
¿Por qué importa tanto? Porque cuando la SENACLAFT o el BCU te inspeccione, no les alcanza con que hayas hecho el proceso correctamente: necesitan verlo documentado. Un proceso impecable sin respaldo documental es, a efectos regulatorios, equivalente a no haber hecho nada.
Esto incluye la ficha del cliente con toda su información, copias de los documentos de identidad y societarios, el análisis de riesgo y su justificación, los resultados de las verificaciones contra listas, las actas de decisión cuando se acepta un cliente de alto riesgo, y los informes de monitoreo transaccional.
Errores comunes que debés evitar
Hay errores que vemos repetidamente en empresas que están armando su proceso de debida diligencia.
El más frecuente es tratar la debida diligencia como un evento y no como un proceso. Verificar al cliente una vez en el onboarding y nunca más es insuficiente. El riesgo cambia con el tiempo.
Otro error común es aplicar el mismo nivel de control a todos los clientes. Si verificás con la misma profundidad a un empleado público que a una empresa offshore de un país de alto riesgo, estás desperdiciando recursos en los de bajo riesgo y siendo insuficiente con los de alto riesgo.
También es frecuente no identificar al beneficiario final de personas jurídicas. Quedarse con el nombre del representante legal sin investigar quién realmente controla la empresa es una falla grave.
Finalmente, muchas empresas no documentan las decisiones. Si aceptaste un cliente que tenía una noticia negativa, documentá por qué consideraste que el riesgo era aceptable. Esa documentación puede ser la diferencia entre una observación y una sanción en una inspección.
Conclusión
La debida diligencia no tiene que ser un proceso burocrático y doloroso. Con un flujo claro —identificar, verificar, clasificar, monitorear— y las herramientas adecuadas, podés cumplir con la normativa sin friccionar la experiencia de tus clientes.
La clave está en automatizar lo que se puede automatizar (verificación contra listas, monitoreo continuo, alertas) y dedicar el tiempo humano a lo que realmente lo requiere: analizar situaciones complejas y tomar decisiones informadas. Y cuando algo no cierra, saber cuándo y cómo hacer un Reporte de Operación Sospechosa.
¿Necesitas automatizar tu proceso de debida diligencia?
En Legaltalent ayudamos a sujetos obligados a implementar debida diligencia de forma simple y automatizada. Nuestra plataforma te permite verificar clientes contra listas globales de sanciones y PEPs, monitorear noticias negativas con inteligencia artificial, y mantener toda tu documentación organizada y lista para inspecciones.
Comienza gratis y descubre cómo cumplir con la normativa en minutos, no semanas.